Order of Six Angles
الذهاب إلى القناة على Telegram
إظهار المزيد
4 829
المشتركون
-224 ساعات
+127 أيام
+9330 أيام
جاري تحميل البيانات...
القنوات المماثلة
سحابة العلامات
الإشارات الواردة والصادرة
---
---
---
---
---
---
جذب المشتركين
يوليو '26
يوليو '26
+1
في 0 قنوات
يونيو '26
+139
في 2 قنوات
Get PRO
مايو '26
+193
في 5 قنوات
Get PRO
أبريل '26
+171
في 3 قنوات
Get PRO
مارس '26
+160
في 6 قنوات
Get PRO
فبراير '26
+89
في 1 قنوات
Get PRO
يناير '26
+116
في 2 قنوات
Get PRO
ديسمبر '25
+52
في 2 قنوات
Get PRO
نوفمبر '25
+122
في 1 قنوات
Get PRO
أكتوبر '25
+73
في 2 قنوات
Get PRO
سبتمبر '25
+50
في 0 قنوات
Get PRO
أغسطس '25
+75
في 0 قنوات
Get PRO
يوليو '25
+127
في 2 قنوات
Get PRO
يونيو '25
+113
في 4 قنوات
Get PRO
مايو '25
+91
في 2 قنوات
Get PRO
أبريل '25
+206
في 6 قنوات
Get PRO
مارس '25
+94
في 2 قنوات
Get PRO
فبراير '25
+62
في 5 قنوات
Get PRO
يناير '25
+77
في 4 قنوات
Get PRO
ديسمبر '24
+91
في 2 قنوات
Get PRO
نوفمبر '24
+264
في 1 قنوات
Get PRO
أكتوبر '24
+251
في 2 قنوات
Get PRO
سبتمبر '24
+196
في 7 قنوات
Get PRO
أغسطس '24
+156
في 5 قنوات
Get PRO
يوليو '24
+136
في 3 قنوات
Get PRO
يونيو '24
+215
في 4 قنوات
Get PRO
مايو '24
+162
في 2 قنوات
Get PRO
أبريل '240
في 0 قنوات
Get PRO
مارس '240
في 2 قنوات
Get PRO
فبراير '240
في 2 قنوات
Get PRO
يناير '240
في 2 قنوات
Get PRO
ديسمبر '230
في 3 قنوات
Get PRO
نوفمبر '230
في 1 قنوات
Get PRO
أكتوبر '230
في 1 قنوات
Get PRO
سبتمبر '230
في 0 قنوات
Get PRO
أغسطس '230
في 0 قنوات
Get PRO
يوليو '230
في 0 قنوات
Get PRO
يونيو '230
في 0 قنوات
Get PRO
مايو '230
في 0 قنوات
Get PRO
أبريل '230
في 0 قنوات
Get PRO
مارس '230
في 0 قنوات
Get PRO
فبراير '230
في 0 قنوات
Get PRO
يناير '23
+51
في 0 قنوات
Get PRO
ديسمبر '22
+30
في 0 قنوات
Get PRO
نوفمبر '22
+19
في 0 قنوات
Get PRO
أكتوبر '22
+17
في 0 قنوات
Get PRO
سبتمبر '22
+30
في 0 قنوات
Get PRO
أغسطس '22
+18
في 0 قنوات
Get PRO
يوليو '22
+29
في 0 قنوات
Get PRO
يونيو '22
+25
في 0 قنوات
Get PRO
مايو '22
+20
في 0 قنوات
Get PRO
أبريل '22
+33
في 0 قنوات
Get PRO
مارس '22
+24
في 0 قنوات
Get PRO
فبراير '22
+29
في 0 قنوات
Get PRO
يناير '22
+96
في 0 قنوات
Get PRO
ديسمبر '21
+61
في 0 قنوات
Get PRO
نوفمبر '21
+119
في 0 قنوات
Get PRO
أكتوبر '21
+58
في 0 قنوات
Get PRO
سبتمبر '21
+114
في 0 قنوات
Get PRO
أغسطس '21
+166
في 0 قنوات
Get PRO
يوليو '21
+236
في 0 قنوات
Get PRO
يونيو '21
+334
في 0 قنوات
Get PRO
مايو '21
+121
في 0 قنوات
Get PRO
أبريل '21
+104
في 0 قنوات
Get PRO
مارس '21
+133
في 0 قنوات
Get PRO
فبراير '21
+46
في 0 قنوات
Get PRO
يناير '21
+161
في 0 قنوات
Get PRO
ديسمبر '20
+1 940
في 0 قنوات
| التاريخ | نمو المشتركين | الإشارات | القنوات | |
| 01 يوليو | +1 |
منشورات القناة
| 2 | Короче, идея с анализом малвари под QEMU TCG провалилась. Этот режим крайне медленный, даже если отключить мониторинг памяти и оставить только сисколы. Вернулся к KVM режиму. Ускорить, оптимизировать, давать больше времени вообще не помогает. | 281 |
| 3 | Сегодня каналу исполнилось 7 лет 🍾 | 435 |
| 4 | с помощью qemu tcg можно также исследовать UEFI малварь, незнаю дойдут ли у меня до туда руки, так как щас чисто под юзерспейс малварь разрабатываю. Ну посмотрим | 603 |
| 5 | Вместо приватных репозиториев на гитхабе я стал использовать Forgejo - это селф хостед локальный репозиторий | 699 |
| 6 | В результате запуска одного сэмпла малвари, qemu tcg виртуалка генерит около 550 Мегабайт текста, и это еще сильно обрезанная версия. Приходится выставлять лимиты, иначе легко можно несколько гигабайт на один ран потратить. Эти гигабайты надо еще выкачать с виртуалки на хост, передать мне по локальной сети. Для полноценных больших ресерчей один прогон будет генерить десятки гигабайт данных. | 699 |
| 7 | Внутри винды, которая запущена под qemu tcg мы не ставим Procmon, Sysmon, дебаггеры и прочие анализирующие тулзы. Винда остается максимально чистой, а все наблюдение происходит снаружи, через QEMU TCG и офлайн-парсинг логов. Qemu Guest Agent тоже удаляется.
QEMU TCG пишет не красивый отчет, а низкоуровневый поток событий: выполненные блоки кода, syscall-события, обращения к памяти. На этом уровне в логе есть шум всей виртуальной машины: ядро Windows, службы, cmd/launcher, conhost, дочерние процессы и сам sample. В этом шуме мы должны найти образ/процесс целевой малвари и выделить конкретно ее действия. Сделать это можно по комбинации сисколов и определенных действий. Главная сложность — отделить поведение образца от шума операционной системы и превратить поток низкоуровневых событий QEMU TCG в понятную картину: какие файлы трогал sample, куда писал, какие ключи реестра менял, пытался ли инжектиться в другие процессы и оставлял ли следы закрепления.
Как это реально работает:
1. QEMU-плагин пишет сырой syscall-поток: PID, TID, CR3, image, syscall number, RIP, аргументы регистров и часть stack-аргументов.
2. Скрипт парсит ntdll.dll из гостевой Windows и строит карту:
0x55 -> NtCreateFile
0x3A -> NtWriteFile
0x18 -> NtOpenKey
...
То есть syscall number превращается в человеческое имя: NtCreateFile, NtWriteVirtualMemory, NtSetValueKey.
3. Затем события фильтруются до PID/image целевого sample
4. После этого идут правила. Сисколы:
NtCreateFile / NtOpenFile / NtReadFile / NtWriteFile
попадают в file activity. А
NtCreateKey / NtOpenKey / NtSetValueKey / NtDeleteValueKey
попадают в registry activity.
Да, для анализа обычной малвари это оверхэд. Но зато такой стеап может быть полезен и для анализа эксплоитов, особенно ядерных, так как можно видеть всю работу в ядре. | 787 |
| 8 | Есть проект https://panda.re/, который реализует точно такую же идею, что и я пописал. Я его пробовал использовать, но он очень нестабилен, еле как работает, больше трети функций вообще не работают, местами там куски дерьма мамонта. Вообще не юзабельное. Поэтому свой велосипед оказывается лучше и притом работает с виртуалкой Вин10 (панда только с вин 7). | 750 |
| 9 | Решил исследовать тему исследования малвари путем запуска через QEMU TCG, в полностью headless-режиме.
QEMU TCG — это режим QEMU без аппаратной виртуализации, где гостевые инструкции не выполняются напрямую на CPU, а переводятся и исполняются самим QEMU через Tiny Code Generator. Tiny Code Generator берет блоки инструкций гостевой архитектуры, переводит их во внутреннее представление, а затем генерирует исполняемый код для CPU хоста. Эти переведенные блоки кэшируются и переиспользуются, поэтому QEMU не интерпретирует каждую инструкцию заново, а выполняет динамическую бинарную трансляцию. Стек получился такой:
Proxmox VE -> Debian VM -> QEMU -> Windows 10 guest -> malware sample
На железе стоит Proxmox VE. Внутри него поднял минимальную Debian VM, а уже внутри Debian запускается QEMU с Windows 10. То есть Windows с малварью живет не напрямую в Proxmox, а внутри nested QEMU. Параметры Debian VM:
- Debian GNU/Linux 13 trixie
- 8 vCPU
- ~8 GB RAM
Режим TCG медленнее, зато QEMU сам транслирует guest-инструкции и может логировать выполнение на уровне блоков, инструкций и CPU state. QEMU запускался примерно так:
qemu-system-x86_64 \
-accel tcg,thread=multi \
-cpu max \
-smp 8 \
-m 4096 \
-display none \
-nic none \
-drive file=win10-run.qcow2,format=qcow2,if=ide \
-serial file:serial.log \
-D qemu-tcg.log \
-d guest_errors
Перед запуском создается snapshot/overlay, внутрь Windows копируется sample, затем Windows стартует в TCG. Один реальный прогон малвари занял примерно 5 минут. За 60 секунд полной трассировки получилось около 2.1 GB лога. Лог содержит сырые инструкции, который выполнялись на "процессоре":
IN:
0xfffff80577ca06a1: 48 8b c7 movq %rdi, %rax
0xfffff80577ca06a4: eb ac jmp 0xfffff80577ca0652
Trace 6:
RAX=0000000000000000 RBX=ffffe509e52773f8
RIP=fffff80577ca06a1 RFL=00040246
CR3=000000012dd3f000
Мы также видим весь kernel space, любой код который там выполнялся, все системколлы, полный доступ к памяти винды, что дает очень много инфы о запускаемой программы. Далее я хочу чекнуть как с 2 гигабайтным логом справится локальная ллм типа геммы | 850 |
| 10 | В итоге была найдена только 1 уязвимость out of bounds read (cwe 126), зарепортил, уровень medium 5.5, посмотрим че ответя. Таргет был Windows driver ПО Krisp https://hackerone.com/krisp?type=team | 824 |
| 11 | لا يوجد نص... | 885 |
| 12 | Добавили MCP | 943 |
| 13 | https://github.com/kernullist/kn-live-dbg - полезная тулза. ЛЛМ с ней норм работает. Помогает проводить проверку найденных крешей в драйвере. Я слежу за автором в твиттере, тулза постоянно обновляется, он говорил что добавил МСП в нее, но пока вроде не запушил. Даже без mcp ллм норм с ней работает | 1 082 |
| 14 | Короче, отфаззил один таргет с hackerone, фаззился он недели две. За это время нашлось ровно 100 крэшей (красивое число). Теперь начался triage. Пока нашел только Dos. | 1 092 |
| 15 | Случайно наткнулся на репозиторий, где приводится небольшой намеренно уязвимый бинарник. Решил чекнуть сколько уязвимостей найдут маленькие модели | 1 236 |
| 16 | CVE-2026-41089 PoC — Netlogon CLDAP stack buffer overflow (CVSS 9.8 CRITICAL)
https://github.com/0xABCD01/CVE-2026-41089 | 1 230 |
| 17 | Я прогнал маленькие локальные модели на небольшой задачке - разобрать гипотетическое Windows Electron приложение и найти в нем уязвимости. Результаты описал в статье:
https://www.orderofsixangles.com/ru/2026/06/24/local-model-testing-ru.html | 1 239 |
| 18 | Надо чекнуть
Toolkit for Windows internals, vulnerability analysis, and reproducible security research workflows.
https://github.com/kernelstub/NTForge | 1 171 |
| 19 | لا يوجد نص... | 1 238 |
| 20 | я улучшил промпт, добавил немного инстурментов, пошаманил над виртуалкой, и запустил исследовать новый таргет. Посмотрю на результаты, и если они будут удовлетворительны, то скину детали. Также я в воскресенье весь день тестил небольшие модельки для security анализа на своем мак мини 24 Гб, результаты записал, но пока лень выкладывать, но думаю выложу, вдруг кому интересно будет | 1 293 |
متاح الآن! بحث تيليغرام 2025 — أهم رؤى العام 
